Le istituzioni pubbliche sono particolarmente vulnerabili agli attacchi ransomware. Andrea Argentin, Sales Engineer Manager di CyberArk Italia, evidenzia il problema e offre alcuni consigli.
Secondo il più recente rapporto Verizon DBIR il ransomware è responsabile di circa il 24% di tutti gli attacchi malware, mentre il report 2019 di Beazley Group sui breach evidenzia un aumento del 105% nelle notifiche ransomware tra il primo trimestre 2018 e lo stesso periodo di quest’anno. Anche le richieste di pagamento sono in crescita: la ricerca Beazley indica che il riscatto medio esborsato nel primo trimestre del 2019 è stato di $224.871, superando di gran lunga il totale 2018 pari $116.324.
Come evidenziato dal recente attacco avvenuto a Baltimora, le istituzioni pubbliche sembrano essere particolarmente vulnerabili al ransomware. Anche i risultati della ricerca pubblicata da Recorded Future sugli attacchi ransomware verso infrastrutture e processi critici della PA ha rivelato che gli attacchi segnalati sono cresciuti del 39% nel 2018. Tra le segnalazioni troviamo che le famiglie di ransomware impiegate negli ultimi 24 mesi sono state GandCrab e Ryuk e che molti di questi attacchi sono stati opportunistici: i malviventi sono ‘incappati’ in queste entità pubbliche nella loro ricerca di target vulnerabili. Tuttavia, una volta identificate, sono diventate il focus primario dato il potenziale di notorietà e di copertura mediatica.
Quattro suggerimenti per mitigare il rischio di attacchi ransomware Anche se la pallottola d’argento per la prevenzione non esiste, ci sono diverse misure che le istituzioni pubbliche e le imprese possono adottare per ridurre in modo significativo il rischio che un malware, come ad esempio Robbinhood, possa propagarsi e creare caos.
1-Backup dei dati critici. Certo, sembrerebbe banale, ma è incredibile il numero di imprese che non lo fa regolarmente. Prioritizzate i dati critici per la vostra azienda ed effettuate il backup di modo che, in caso di richiesta di riscatto, potrete continuare a operare (almeno in parte).
2-Non smettete mai di applicare le patch. Applicare costantemente le patch a endpoint e server ridurrà in modo significativo la superficie di attacco, diminuendo la possibilità di violazione. Se non l’avete già fatto, disabilitate immediatamente l’ormai ampiamente superata versione 1 del protocollo Microsoft SMB o applicate la patch MS17-010. Ma non basta. Dovete aggiornare tutto il software regolarmente per evitare le infezioni da ransomware – e assicuratevi che antivirus, firewall e altri strumenti di protezione del perimetro siano sempre aggiornati.
3-Occhio al phishing. Secondo il rapporto DBIR di Verizon, il phishing è coinvolto nel 32% dei breach odierni e nel 78% degli incidenti di cyber-spionaggio. I malviventi spesso iniziano il loro attacco malware tramite campagne di phishing. Se ricevete una chiamata, email, SMS o chat non richiesti, non rispondete e non cliccate su alcun link – anche se la persona sostiene di appartenere a un dipartimento legittimo – prima di esserne certi.
4-Rimuovete i privilegi di amministrazione locali per contenere e bloccare gli attacchi. Anche se la formazione del personale sul phishing è importante, non ci si può fermare lì. Eliminare i diritti di amministrazione locale costituisce la base di una reale sicurezza endpoint. Implementando una combinazione di minimi privilegi e l’applicazione di policy di controllo su endpoint e server come parte di un più esteso approccio Zero Trust, si può mitigare il rischio che malware come Robbinhood si propaghino dal punto di infezione iniziale. Secondo i test svolti dai CyberArk Labs, la rimozione dei diritti di amministratore locale, combinata con l’application control e il greylisting, è risultata efficace nel 100% dei casi per prevenire che il ransomware cifrasse i file.
Le soluzioni di antivirus/next-generation antivirus o di endpoint detection and response (EDR) non possono da sole bloccare il ransomware. Non aspettare che la tua organizzazione venga colpita, adotta un approccio proattivo per proteggere i privilegi sull’endpoint e contenere gli attacchi già nelle prime fasi del loro ciclo di vita.
